Kibertəhlükəsizlik

Kerberoasting hücumları

Kerberoasting hücumlarını necə aşkar etmək olar?

Photo of orxan orxan12 Yanvar 2025
44 2 minutes read
Oxundu: 56

Kerberoasting, istifadəçi şəxsiyyətlərini yoxlamaq üçün simmetrik açar kriptoqrafiyasından və açar paylama mərkəzindən (KDC) istifadə edən autentifikasiya protokolu olan Kerberos-u hədəf alan hücum texnikasıdır.Kerberoasting hücumları təsdiqlənmiş domen istifadəçisi unikal identifikator kimi xidmət edən xidmətin əsas adı (SPN) üçün xidmət bileti tələb etdikdə başlayır.Pis niyətli Kibercinayətkar qoşulmuş xidmət hesabının parolunun heş ilə şifrələnmiş xidmət biletini çıxarır. Daha sonra onlar açıq mətn parolunu sındırmağa çalışırlar.

Kerberoasting necə işləyir?

Kerberoasting hücumları, Kerberos bilet təqdimetmə xidmətindən (TGS) giriş nişanlarını tələb etmək üçün istifadə edilən KDC tərəfindən verilmiş bilet verən bilet (TGT) autentifikasiya nişanından istifadə etməklə işləyir. Sadə dillə desək.Kerberos protokolu sizə daim cilentlərdən parolları yenidən daxil etməyi və ya saxlamağı tələb etmədən domen istifadəçi hesablarının autentifikasiyasını həyata keçirməyə imkan verir – və təcavüzkarların bundan istifadə etmək üçün xüsusi alətləri var. Onlar bunu belə edirlər

  1. Xidmət hesablarının nömrələməsi şəbəkədə artıq bir dayaq yaratdıqdan sonra təcavüzkar xidmət hesablarını nömrələyir. Bunlar adətən Active Directory-də qeydiyyatdan keçmiş SPN-lərə malik hesablardır.
  2. Bilet tələb edin Pis niyətli xaker təyin edilmiş xidmət hesabları üçün xidmət bileti (TGS) tələb edir.
  3. Biletlərin verilməsi mexanizmi domen nəzarətçisi xidmət hesabının parol hashı ilə şifrələnmiş Bilet Təqdimetmə Xidməti (TGS) biletini verir.
  4. Şifrələnmiş biletlərin çıxarılması kerberos protokolu xidmət hesabının NTLM hash ilə şifrələnmiş məlumatları ehtiva edən şifrələnmiş bileti qaytarır.
  5. Offline Cracking Pis niyyətli xaker parol hashini sındırmaq və açıq mətn parollarını aşkar etmək üçün John the Ripper və ya Hashcat kimi vasitələrdən istifadə edir.

 

Xakerlər niyə Kerberoasting istifadə edir?
Təcavüzkarlar Kerberoasting-dən Microsoft Active Directory mühitində xidmət hesablarının parollarını əldə etmək üçün bir üsul kimi istifadə edirlər. Hücumçular Kerberos autentifikasiyasının işindən istifadə edərək bu parol heşlərini çıxara və onları oflayn rejimdə sındırmağa cəhd edə bilərlər. Bu heşlərin müvəffəqiyyətlə sındırılması təcavüzkarlara yüksək imtiyazlar verə bilər ki, bu da onlara şəbəkə daxilində yanal hərəkət etməyə, həssas məlumatlara daxil olmağa və ya sistemi daha da güzəştə getməyə imkan verir.

Xakerlər kerberoasting ünvanlarından istifadə etməsinin səbəbləri bunlardır

  • İmtiyazların artırılması
    Yüksək imtiyazlı hesablara giriş xidmət hesabları adətən yüksək icazələrə malikdir. Etibarnamələrin pozulması təcavüzkarlara daha yüksək imtiyazlar tələb edən hərəkətləri yerinə yetirməyə imkan verir.
  • Yanal hərəkət xidmət hesablarına girişlə təcavüzkarlar şəbəkə daxilində müxtəlif sistemlər arasında hərəkət edərək öz əhatə dairəsini genişləndirə bilərlər.

Gizli istismar

  • Aşağı aşkarlanma riski kerberoasting hər hansı təsdiqlənmiş domen istifadəçisi tərəfindən dərhal təhlükəsizlik xəbərdarlıqlarını işə salmadan işlədilə bilər, çünki xidmət biletlərinin tələb edilməsi standart davranışdır.
  • Oflayn parolun qırılması parolun sındırılması prosesi oflayn rejimdə baş verdiyi üçün şəbəkə monitorinq alətləri tərəfindən aşkarlanmanın qarşısını alır.

Zəif təhlükəsizlik təcrübələrindən istifadə edilməsi

  • Zəif və ya dəyişməmiş parollar  xidmət hesabı parolları tez-tez zəif olur və ya müntəzəm olaraq dəyişdirilmir, bu da onları çatlara qarşı həssas edir.
  • Yanlış konfiqurasiya edilmiş hesablar və icazələr Kerberoasting hücumlarını həyata keçirməyi asanlaşdıra bilər.

Kerberoasting hücumlarını necə aşkar etmək olar?

Təşkilatınızı Kerberoasting hücumlarından qorumaq üçün erkən aşkarlama çox vacibdir. Qeyri-adi Kerberos trafik nümunələri və bilet sorğularına nəzarət etməklə yanaşı, faktiki sorğularda anomaliyaları müəyyən etmək üçün davranışa əsaslanan aşkarlamalardan istifadə edin.

Vectra AI iki növ kerberoasting aşkarlamasını təmin edir

SPN Sweep aşkarlanması Active Directory mühitinizdə Xidmətin Əsas Adlarını (SPN) sadalamaq cəhdlərinin müəyyən edilməsinə diqqət yetirir. Bu, təcavüzkarların hədəf ala biləcəkləri xidmət hesabları haqqında məlumat toplaya biləcəyini göstərir.

Parolun düşməsinin aşkarlanması RC4 şifrələməsi kimi daha zəif şifrələmə növlərindən istifadə edərək Kerberos biletlərini tələb etmək cəhdlərini axtarır. Bu, təcavüzkarların sındırılması daha asan biletlər yaratmaq üçün sistemi manipulyasiya etdiklərini göstərir.

‍AccountScan aşkarlanması etibarlı istifadəçi hesabları üçün Kerberos autentifikasiya xidmətini sorğulamaq cəhdlərini müəyyən edir – Kerberoasting üçün ümumi prekursor.

Photo of orxan orxan12 Yanvar 2025
44 2 minutes read
Photo of orxan

orxan

Related Articles

Linux tails haqqında

22 Noyabr 2024

SOAR nədir?

25 Dekabr 2024

Fişinq nədir?

20 Dekabr 2024

Anydesk-dən sonra TeamViewer də xaker hücumuna məruz qaldı

03 Noyabr 2024

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

© Copyright 2025, Müəlif hüquqlar qorunur!  |  LinuxOyren
ILK-10 Azeri Website Directory MobTop.az
Back to top button